防火墙对scan及dos的防御.ppt

防火墙对扫描和Dos攻击的防御 防火墙技术-攻击检测与预防 网络攻击的一般步骤: 执行探测 探测网络拓扑,发现活动主机(IP address sweep) 检测活动主机的活动端口(port scans) 判断主机的操作系统,利用操作系统的已知漏洞实现攻击. 发动攻击 隐藏发动攻击的主机. 执行一系列攻击 删除或者销毁攻击证据 防火墙技术-防止IP扫描 IP地址扫描(IP address Sweep):攻击者通过ICMP请求报文的方式探测主机. 通过检测同一个source IP地址在一个时间间隔内发送的ICMP报文数来确定是否存在IP地址的扫描,如果发现,那么对于以后的ICMP进行抛弃 防火墙技术-防止端口扫描 端口扫描(port scanning):攻击源通过试探建立TCP连接来探测被攻击对象对外部提供的服务. 防火墙技术-防止OS类型探测 对于TCP数据报文中Flag位的异常设置,不同OS的TCP/IP协议栈具有不同的实现,将有不同的应答报文,攻击者将利用这个差别来决定操作系统. SYN and FIN are set FIN flag without ACK TCP header without Flag set 防火墙将检测这些非正常的TCP报文,实现对其丢弃. 防火墙技术-防止IP隐藏 攻击者主要利用IP数据包中的宽松源路由选项(Loose source route option)和严格源路由选项(Strict source route option),通过指定路由的方式,使得攻击数据包能够到达目标主机. 防火墙可以配置是否对于IP数据包的路由选项进行处理, 检测到这类数据报文可以进行抛弃. 防火墙技术- Deny of Service DoS:拒绝服务攻击的主要方法是通过向被攻击者发送大量的伪造的数据报文,导致被攻击者忙于处理伪造数据报文而不能处理合法的报文.其核心就是“资源耗尽”. DDoS:Distributed DOS,攻击者通过伪装IP地址,或者利用攻击代理,从多个攻击点向同一受攻击者发送攻击. 网络设备的资源 CPU处理能力 系统内存 数据带宽 内部核心数据结构: 例如防火墙的状态表; SOCKET连接 表. DoS的分类:根据攻击对象不同 Firewall DoS Attack: 由于防火墙是内部网络对外的通道,攻击者希望通过攻击防火墙实现内部网络的不可用性,这也是黑客的最大追求. Network DoS Attack: 导致网络设备的不可用性. OS Dos Attack: 导致主机操作系统直接崩溃. 防火墙技术-Firewall DoS attack Session table flood(Session表淹没):恶意数据大量占用Session表. 解决方法: 基于源或目的的session限制 Session表的主动老化 防火墙技术-Firewall DoS attack SYN-ACK-ACK Proxy flood 原因: 当一个需要认证的用户进行Telnet或者FTP服务时,防火墙将首先进行TCP 链接的代理, 提示用户输入用户名和密码,同时建立session表项. 解决: 配置相应的SYN-ACK-ACK最大数量,超过这个阀值则进行丢弃. 防火墙技术-Network DoS attack 攻击总类包括: SYN flood/ICMP flood/UDP flood 基本攻击原理(SYN flood) 解决方法: 代理服务/阈值限制 利用伪造的IP地址和被攻击者建立TCP链接, 在TCP链接的超时时间内建立大量的连接为完的TCP链接,导致被攻击者资源耗尽,不能对外提供服务. 防火墙技术-Network DoS attack SYN-Flood攻击预防 防火墙技术-Network DoS attack ICMP Flood预防 防火墙技术-Network DoS attack UDP Flood预防(主要用于DNS的攻击) 防火墙技术-OS DoS attack Ping of Death攻击: IP数据报文的最长为65535字节,但是有些Ping的程序或者恶意代码允许构造的大于IP数据报文长度的ICMP报文,导致被攻击者在进行报文重组过程中存在缓冲区溢出,导致系统崩溃. 解决方法:防火墙将检测这些oversize的数据包,进行丢弃. 防火墙技术-OS DoS attack Teardrop attack(泪滴攻击):利用IP头部的错误分片偏移,导致系统崩溃.